любые utf-8 символы это опасно. Надо разрешить с десяток символов, букв латиницы и цифры и прописать их в то регулярное выражение. Ничего с посетителем не станет если вы требуете ограниченные символы в логине/пароле. У меня несколько счетов в банках Англии, у них к примеру разрешены только буквы и цифры в веб-интерфейсе доступа к панели управления...

Одно правило - не доверять сети. Все что потенциально ненужно - запрещать. Только так можно оградить себя от взломов.